管理模板的修改实际上是修改注册表。
所有基于注册表的组策略设定存为Registry.pol,放在Sysvol文件夹中。
.adm文件实际上提出一种供企业管理员管理客户端注册表/应用程序配置的方法。
安全筛选器
缺省:Authenticated Users
WMI筛选器
复制、粘贴组策略
组策略的迁移和迁移表
u 迁移需求(跨域)
? 试验环境—生产环境
? 生产环境1—生产环境2
u 迁移解决方案
? 复制+粘贴
? 备份+导入
u 挑战
? 安全主体(用户、组、计算机)
? UNC
u 迁移表(*.migtable)
? 影射源GPO中安全主体、UNC到目标GPO中新值的文件
迁移表编辑器
Mtedit.exe
或
GPMC控制台
右键单击“域”,下拉菜单中选择“打开迁移表编辑器”。
右击“组策略对象”,下拉菜单中选择“打开组策略编辑器”。
使用脚本”createmigrationtable.wsf”。
RSoP(resultant set of group policy)策略的结果集
客户对于组策略的第一改进要求
两种模式
记录模式
计划模式
工具
mmc中的组策略结果集
%systemroot%\system32\gpresult.exe
GPMC
组策略结果
组策略建模
高级查看
脚本化GPO操作
在program files\gpmc\scripts中
帐户策略
l 密码策略
? 定义密码的长度、复杂度、历史密码以及存留周期等
? 注意:密码策略只能设置在域级,设置在ou上的密码策略只对OU所影响的计算机的本地用户有效
l 帐户锁定策略
? 防止攻击者恶意猜测用户密码的保护措施
? 注意:默认管理员不会被锁定
l Kerberos策略
? 定义票据策略(仅适用于域环境)
软件限制策略
? 不能替代防病毒软件
? 优先级
哈希、证书、路径、区域规则
http://bbs.51cto.com/thread-408278-1-1.html
Default domain policy & default domain controllers policy
密码、帐户锁定和kerberos策略设置必须在域级别实现
还有以下设置:登陆时间用完自动注销用户,重命名(Domain)管理员账户和重命名(Domain)来宾帐户。
两种方法:
#1:在Default Domain Policy仅修改以上策略设置,然后在其下链接其他GPO
#2:单独保留Default Domain policy-永不修改,创建并链接高优先级的GPO,然后修改策略设置。
为什么是噩梦?KB226243,KB324800,KB267553
不要依赖DCgpofix(这将是最后的还原工具),最好使用您的备份替代
将DC放在DC所在的OU并单独管理
为用户和计算机创建单独的OU
使用OU把用户/计算机按照角色分组
默认情况下,所有新帐户创建在cn=users或者cn=computers(不能链接GPO)
Redirusr.exe 重定向用户到指定OU
Redircmp.exe 重定向计算机到指定OU
如:redircmp ou=testou,dc=test,dc=com
注意域功能级别至少是2003才能生效
测试:net computer \\p1 /add,可以发现已重定向至testou
将明显的影响处理时间
通过线缆取GPO的时间
使排错和客户端处理GPO的速度非常慢
违反KISS规则keep it simple,stupid
在一个域更改GPO设置将将影响另外一个域
使用GPMC脚本来帮助部署和维护跨域的组策略的一致性
CreateEnvironmentFromXML.wsf
CreateXMLFromEnvironment.wsf
增加了处理时间,增加了排错的难度
您可以在域级别强制一个标准策略,但是不要使用组织继承
回环处理模式会给配错带来负担,但是有特定的场景使用
通过用于保证等于的每一个用户都能获得相同的配置
用于特定的计算机(例如:公共场所的电脑,图书馆,还有教室)
您需要基于使用的计算机来修改用户策略
经常用户终端服务实现
Kb231287
在组策略中,计算机配置-管理模板-系统-组策略-用户组策略环回模式
考虑以下几点:
每增加一个GPO都会增加复杂度
限制谁能创建/修改/链接GPOs(委派)
回环处理/强制/阻止继承使事情
KISS:如果可能的话,使用一下三个层次的GPO
默认的域策略
用户帐户设置
一个基线的安全策略(强制)
应用到域中的每个用户,每台计算机
一个指定OU的策略
专门针对某个OU包含一些唯一设置的GPO
反对为每一个GPO设置安全过滤器
仅仅对每个GPO中需要的设置做修改,其它保留默认状态(未配置)
技巧#6:在GPMC中进行所有的操作
使用GPMC的RSOP工具
文档化GPO的设置
进行委派
所有的启用、禁用、链接、强制等
使用它禁用所有的GPO中不使用的部分(用户或计算机)-略微的改进处理时的性能
在测试环境和生产环境进行迁移
和GPMC一起安装的脚本(c:\programfiles\gpmc\scripts)
技巧#7使用GPO规划工具
1、所有的GPO设置参考
[url=http://www.microsoft.com/downloads/details.aspx?familyid=][color=#0008ec]http://www.microsoft.com/downloads/details.aspx?familyid=[/color][/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2、XP SP2-specific(详细):
详细指南:
[url=http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx][color=#0008ec]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/color][/url]
使用于当用户是客户计算机的本地管理员的成员的场景
在组策略应用以后覆盖指定的设置
默认情况下,组策略只会检查有没有新的策略设置可用,然后在后台刷新。
强制策略再次处理:
计算机或用户配置>管理模板>系统>组策略>[每一种策略的类型]策略处理
Windows xp默认是异步处理组策略
Windows 2000默认是同步处理组策略
我的看法:
我不想让操作系统来决定组策略的处理方式
我并不想其它因素影响排错
计算机配置-管理模版-系统-登陆-计算机启动过河登陆时总是等待网络
保证GPO的一致性并保证容易理解
创建GPO的管理员越多,一致性越差
使用简洁的名字描述GPO的意图
微软使用的命名惯例:
三个关键字符
范围(end user ,worldwide,IT)
目的
谁管理
示例:“IT-office2003-ITG”
默认情况下,所有新的账户在cn=users或cn=computers
不能链接gpos到这些容器
创建自定义ADM模版
限制windows xp/sp2:(将对设备“写保护“)
Class machine
Category “USB Storage”
Policy “write protect usb storage”
Keyname “system\currentcontrolset\control\storagedevicepolicies”
Valvename “writeprotect”
Valveon numeric 1
Valveoff numeric 0
End policy
End category
禁止读写
。。。。
组策略设置
用户配置-管理模版-windows组件-windows资源管理器-防止从“我的电脑”访问这些驱动器
不能禁用其他的驱动器
自定义管理模版或使用GPDriveOptions
CreatXMLformenvironment
Createenvironmentfromxml
在GPMC中,组策略的save report
Gpmc\scripts\findgposbypolicyextension.wsf
1、windows 使用两种不同的密码表示方法(通常称为“哈希”)生成并存储用户帐户密码
(1)当您将用户帐户的密码设置或更改为包含少于15位字符的密码时,windows会为此密码同时生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
(2)这些哈希存储在本地安全帐户管理器(SAM)数据库或Active Directory中。
(3)与NT哈希相比,LM哈希相对较弱,因此容易遭到暴力攻击。
(4)考虑阻止windows 存储密码的LM哈唏
2、不允许存储LM哈希值(windows XP或windows server2003)
(1)计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全:不要在下次更改密码时存储LAN Manager哈希值。
(2)有些产品或者应用程序依赖于LM哈唏(Win9x没有安装活动目录客户端和第三方SMB客户端例:samba).
3、参考KB 299656
1、 如果便携电脑被盗,盗窃者需要猜测两个部分(用户名、密码)
2、计算机配置>windows设置>本地策略>安全选项>交互式登录:不显示上次登录名
具体应用场景:台式机设置不显示上次登录名的必要性小点,主要是针对便携式计算机,可以给便携式计算机建个OU,设置不显示上次登录用户名的策略。
1、 使用清空上次登录的用户名技巧
2、最好能布置监视的工具(最佳技巧)
(1)不要实现帐户锁定策略(别人就可以利用脚本进行不停的猜测密码,这就会形成一种拒绝服务攻击,让所有域用户帐户锁定),集中在面对密码猜测的响应。
(2)如果可能,在特定的周期内对大量的密码猜测让系统自动响应(找出猜密码的人,而进一步做处理)。
2、如果没有监视工具
(1)考虑使用帐户锁定策略
(2)增加了管理上的负担
(3)接受DOS攻击(通过隐藏上次的登录名减少攻击)
为什么?显著的增加了处理时间
每次组策略重新应用时将被重新评估
示例:
微软OTG小组需要对具有适当网卡的计算机实现IPSEC
创建GPO并连接一个单独的WMI过滤器(WMI过滤器用于检查是否正确的网卡)
能够马上实现,而不是等待所有计算机都安装了适当的网卡
一旦IPSEC实现了,WMI过滤器就应当移除
注意,Windows 2000并不会评估WMI过滤器-但gpo仍然会应用
使用WMI scriptomatic来找出正确的wmi查询
l 通常用于实现通知用户他们使用的系统属于公司并且
? 他们系统被监视
l 计算机配置-Windows设置-本地策略-安全选项-交互式登录-用户试图登陆时的消息文字
l 您消息文字中提示的内容可以做也可以不去做-但是使用消息文字,最起码可以让你的老板知道您正在做您的份内工作。
Default domain controllers policy-计算机配置-windows设置-安全设置-本地策略-用户权限指派
从网路访问此计算机 删除everyone
允许在本地登陆
通过终端服务允许登陆 仅administrators
域中添加工作站 仅adminsitrators
更改系统时间 仅administrators
装载和卸载设备驱动程序仅administrators
还原文件和目录仅administrators
关闭系统仅administrators
l 匿名枚举允许非授权的客户端请求信息
? 域成员列表
? 列出可用的共享
l Default domain controllers policy –计算机配置-windows设置-安全设置-本地策略-安全选项-网路访问
? 允许匿名sid/名称转换
2 止用户使用已知的SID猜测管理员的用户名
? 不允许SAM账户的匿名猜测
2 防止匿名用户从SAM数据库收集信息并枚举共享
? 让每个人的权限应用于匿名用户
2 用户控制是否让匿名用户具有和everyone一样的权利
? 限制匿名访问的命名管道/共享
2 控制匿名用户是否客户访问共享资源
1、 页面文件中存放着很多有用的信息,像临时仓库
2、创建/清理硬盘上的虚拟内存页面文件将增加开机和关机时间
3、这是一个安全考虑(建议无论是DC还是客户端都应启用这个策略)
位置:计算机配置>Windows设置>安全设置>本地策略>安全选项>关机:清除虚拟内存页面文件
1、 改变所有日志文件大小为10MB+
(1)计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值
(2)为每个节点设置保持方法。建议方法:不要覆盖事件(手动清除日志)
2、禁用如果无法记录安全审核则立即关闭系统(例:Windows设置的日志大小是200M,经过一段时间,日志写满了,那服务器就会自动关机的)
计算机配置>Windows设置>安全设置>本地策略>安全选项>审核:如果无法记录安全审核则立即关闭系统
1、网络中使用哈唏做身份验证的若干种方法
(1)LM:非常脆弱,很容易被sniffer捕获到口令
(2)NTLM v1:比LM安全,但仍然容易被攻击
(3)NTLM v2:较安全,但是不被以前的客户端支持
(4)Kerberos:非常安全,不被以前的客户端支持
2、有些产品依赖于LM哈唏
(1)Win9x(没有安装活动目录客户端)
(2)第三方的SMB客户端(samba)
3、设置合适的LM兼容级别
Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全:LAN Manager身份验证级别(建议设定不在支持LM)
4、参考KB 239869
组策率盘点工具
www.gpanswers.com
Group policy inventory